GDPR ст. 28 обов'язки процесора 2026 — ТОВ ФОП DPA | AGENTIS

GDPR ст. 28 — обов'язки процесора 2026 для ТОВ/ФОП: ст. 28 Регламенту (ЄС) 2016/679 встановлює, що обробка персональних даних процесором від імені контролера ОБОВ'ЯЗКОВО ґрунтується на договорі (DPA) з 8 mandatory elements. Процесор має: 1) обробляти ТІЛЬКИ за документованими інструкціями; 2) забезпечити конфіденційність персоналу; 3) впроваджувати заходи безпеки за ст. 32; 4) залучати sub-процесорів тільки з дозволу контролера; 5) допомагати з DSAR; 6) допомагати з security/breach/DPIA; 7) повертати/стирати дані після termination; 8) надавати documentation для audit. Sub-процесори мають mirror зобов'язання у back-to-back DPA.

ст. 28 GDPR — структура

ст. 28(1)

Контролер залучає тільки тих процесорів, які надають достатні гарантії впровадження appropriate technical and organisational measures так, щоб processing met the requirements of GDPR + protected subject's rights.

Practice: перед entering DPA — due diligence: certifications (ISO 27001, SOC 2), reputation, audit reports, breach history, jurisdiction.

ст. 28(2)

Процесор не залучає sub-процесора без prior specific or general written authorization контролера. У випадку general authorization — інформування контролера про intended changes + opportunity to object.

Practice: Annex 2 sub-процесорів + 30-day notice + право objection.

ст. 28(3) — 8 обов'язкових елементів

Processing by a processor shall be governed by a contract... that:

1. (a) sets out the subject-matter and duration of the processing, the nature and purpose of the processing, the type of personal data and categories of data subjects, and the obligations and rights of the controller.
2. (b) processor processes only on documented instructions from the controller.
3. (c) ensures persons authorized to process personal data have committed themselves to confidentiality or under statutory obligation.
4. (d) takes all measures required pursuant to Article 32 (security).
5. (e) respects conditions referred to in paragraphs 2 and 4 (sub-процесорі).
6. (f) assists controller by appropriate technical and organisational measures, insofar as possible, with DSAR responses (ст. 12-22 GDPR).
7. (g) assists controller in ensuring compliance with obligations pursuant to Articles 32-36 (security, breach notification, DPIA, prior consultation).
8. (h) at the choice of the controller, deletes or returns all personal data after end of services + makes available all information necessary to demonstrate compliance + allows for audits, including inspections, conducted by controller or another auditor.

ст. 28(4)

Якщо процесор залучає sub-процесора — sub-DPA з same data protection obligations as primary DPA.

ст. 28(5)

Adherence to approved code of conduct (ст. 40) або certification mechanism (ст. 42) може serve як sufficient guarantees.

ст. 28(6)

Договір може be based on standard contractual clauses (Commission або supervisory authority).

ст. 28(7-9)

Form вимоги: writing, including electronic form.

ст. 28(10)

Якщо процесор виходить за межі instructions і визначає purposes — він стає Independent Controller для тієї обробки і несе full Controller's відповідальність.

Practical implementation — checklist для Процесора ТОВ/ФОП

Перед entering DPA

• ISO 27001 / SOC 2 Type II certifications (або internal audit equivalent).
• Documented security policies (encryption, access control, incident response).
• DPO appointed (якщо required ст. 37).
• Privacy by Design / Default infrastructure (ст. 25 GDPR).
• Records of processing activities (ст. 30(2)).
• Sub-процесори list з jurisdictions.
• Breach response plan з 24-48h SLA до Контролера.

Під час processing

• Processing only за documented instructions (logged, audited).
• Security measures consistent з ст. 32 (encryption, pseudonymisation, RBAC).
• Access logs + monitoring.
• Sub-процесорі notification + objection processing.
• DSAR assistance (forward request to Контролер + provide data).
• Breach detection + 24-48h notification до Контролера.

При termination

• Return data або erasure (Контролер вибирає).
• 30-90 днів window.
• Certificate of destruction.
• Sub-процесорі також erase.
• Backups deleted (per retention policy).

Sub-процесорі — strict rules (ст. 28(2), (4))

Sub-процесорі — Процесор-Процесора. Examples:

• Mailchimp use AWS as sub-процесор для infrastructure.
• HubSpot use Salesforce as sub-процесор для CRM data.
• Stripe use AWS as sub-процесор для payment processing.

Mandatory:

1. Контролер's written authorization (specific або general).
2. Notice про intended changes (Annex 2 update).
3. Право objection.
4. Back-to-back DPA з sub-процесорами з аналогічними зобов'язаннями.
5. Процесор остается ВІДПОВІДАЛЬНИМ перед Контролером за compliance sub-процесорі.

Critical: якщо sub-процесор у non-adequate country → SCC 2021 модуль P2P + TIA.

Що означає "documented instructions"

Documented instructions — основа Процесора's authority. Включає:

• DPA itself — high-level instructions.
• Annex 1 — specific processing description.
• Operational documents — config files, API integrations, business rules.
• Email exchanges — ad-hoc instructions.
• Tickets / change requests — formal change procedure.

Critical: без instruction Процесор cannot process. Recipe: maintain ticket history + log + audit trail для всіх instructions.

Якщо Процесор виходить за межі instructions

ст. 28(10) GDPR: Процесор стає Independent Controller + несе full Controller's обов'язки (ст. 24, 25, 26, 30, 32, 33, 35).

Examples:

• Mailchimp вирішує запустити own promotional campaign на ТОВ's customer database. Stops being Processor для тієї activity → Independent Controller.
• AWS аналізує customer's data для own ML model improvement без consent → Independent Controller.

Practice: AWS, Google Cloud, Microsoft DPA explicitly limit own processing to: 1) infrastructure operation; 2) abuse detection; 3) compliance with law. Beyond — Independent Controller.

Часті порушення ст. 28 — enforcement 2024-2025

Belgium DPA 2023: controller fined для використання identical DPA template для 12 процесорів — порушення ст. 28(3) (specificity required).

Spain AEPD 2024: 40+ sanctions де відсутність / insufficiency DPA був contributing factor. Average fine €100K-€500K.

EDPB Coordinated Enforcement Action 2024: 156 corrective actions across EU member states. Top deficiencies:

1. Missing or insufficient documented instructions.
2. Sub-процесорі control gaps.
3. Audit rights waived або too restrictive.
4. Breach SLA "without undue delay" (vague).
5. Termination data handling unclear.

Practice 2024-2026 для українського ТОВ-Процесора

Якщо ваш ТОВ — SaaS / агенція / outsourcing і ви Процесор для клієнтів:

1. Готовий DPA template для клієнтів — sign-ready з Annex 1 customizable.
2. ISO 27001 certification — приваблює EU clients.
3. EU data residency option — окремий plan з AWS Frankfurt / Hetzner Helsinki.
4. DPO appointed — обов'язково для large-scale processing.
5. Sub-процесорі transparency — public list на website + RSS notifications.
6. Breach SLA 24h — competitive advantage.
7. Audit-ready — annual SOC 2 Type II report.
8. GDPR + ЗУ 2297-VI bilingual DPA — стандарт для UA companies.

FAQ

Чи Процесор несе solidarity (joint and several) liability з Контролером? ст. 82(4) GDPR — solidarity для damage до суб'єктів. Контролер може recovery proportionate частину від Процесора через indemnification у DPA.

Чи можна "in-house" delegation (department А обробляє data of department Б) розглядати як Процесор? НІ. Same legal entity = single Controller. Internal delegation — internal control matter, не Процесорі-Контролер relationship.

Чи DPA з Процесором заміняє consent від суб'єкта? НІ. DPA — between Контролер і Процесор. Consent (якщо застосовується ст. 6(1)(a)) — від суб'єкта окремо.

Чи Процесор може mark up rate за DPA compliance? Так. GDPR-compliance — service feature. Процесорі often premium-price clients що requires strict DPA + audits.

AGENTIS — інформаційний інструмент. Не замінює адвоката і не є юридичною консультацією.

Готовий шаблон DPA з усіма 8 елементами ст. 28(3) — згенеруйте чернетку DPA через AGENTIS.

Пов'язані матеріали:

• Pillar: Договір про обробку персональних даних
• QA: Контролер vs Процесор у DPA
• GDPR ст. 28 — повний огляд
• Закон № 2297-VI — повний огляд

Зовнішні джерела: GDPR Art. 28 на gdpr-info.eu · EDPB Guidelines · Закон 2297-VI ст. 24